コラム
IMDRFサイバーセキュリティガイダンスによって医療機器メーカーが求められる構成管理とは?
2022年2月7日
著者: ⼭崎 芳弘
ITサービスマネジメント⼿法の適⽤領域をITに閉じられた世界からサービス事業へ展開すべく、事業領域のお客様と未来のサービスマネジメントについて設計・構築を行う。
医療機器のデジタル化によって増大するサイバーセキュリティリスク
デジタル技術の進展により医療機器やヘルスケアのデジタル化を進める絶好の機会となっています。
人生100年時代に向け、デジタル技術の活用により、健康長寿社会を目指す「デジタルヘルス」が注目されてきています。
また、医療従事者の労働環境の改善や、医療現場の働き方改革を推進するデジタル技術へのニーズも高まってきています。
こうしたデジタル化の潮流に伴い、クラウド・IoT・サービス間連携など、サプライチェーン上でのネットワーク利用が増大・複雑化し、サイバー攻撃も多様化・巧妙化してきており、セキュリティリスクが高まってきています。
事故の例
ここ数年を見ても、医療機関や関連企業等で大規模なセキュリティ事故が発生しています。
| 2015年 | 標的型攻撃メール:日本年金機構の情報流出事件 影響額118億円 |
| 2017年 | ランサムウェア:英国NHSの大規模なシステム障害 影響額132億円 |
| 2021年 | ランサムウェア:NZ保健局の患者情報アクセス不能 2週間以上医療行為が不能に |
| 2021年 | ランサムウェア:アイルランド国営医療サービスの外来受付不能2週間以上半分復旧 ※ネットワークの復旧作業やITシステムの更新作業などで、推定被害134億と言われています。 |
※国内でも、病院、製薬会社、商社など医療機関に関係する機関や企業が立て続けに被害にあっています。
IMDRFサイバーセキュリティガイダンスの登場
このような背景から、国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスが公表され、日本では2023年にガイダンスを医療業界に導入する検討がなされています。
その為、ガイダンスに対応したサイバーセキュリティ対策が今後の課題となっています。
IMDRFガイダンスへの対応で医療機器メーカーに求められる構成管理
IMDRFガイダンスによって医療機器メーカーに求められるサイバーセキュリティ対策の一つに、ライフサイクル全体にわたる医療機器の構成管理があります。医療機器の構成管理においては従来より以下のような問題が存在していました。
- 過去に設置した医療機器のEOSを管理できておらず、適切なバージョンアップやリプレースの案内を顧客にできていない。
- サードパーティ製コンポーネントのEOLやEOSの把握に苦労している。
- 設計、製造、販売、出荷、設置後、撤去後などの各ライフサイクルにおいて、医療機器の構成情報が散在し一元化されておらず、最新の状態が分からない。
- 古い構成情報を基に作業を行い、トラブルを発生させてしまう。
このような状態を続けていると、脆弱性が検知された際に影響範囲の特定ができなかったり、適切なセキュリティ対応がされていない医療機器が使われ続けてしまったりということが発生し、セキュリティインシデントを未然に防ぐことが困難になります。
今後医療機器メーカーは、医療機器の最新の構成情報を管理し、将来にわたってその変更を追跡し、自社がサポートする医療機器が常に適切なサイバーセキュリティ対策が成されていることを確実にすることが求められます。また、サイバーセキュリティ対応にとどまらず、カスタマーサポートサービスの品質向上や業務効率化、バージョンアップやリプレースの商談機会獲得など、構成管理データを活用した業務改革や売上拡大も念頭において戦略的に取り組むことが必要と考えます。
医療機器メーカーの構成管理への取り組みについて解説するホワイトペーパーを発行いたしました。是非一読いただき、ご活用いただけると幸いです。
